Datenschutzgrundverordnung (DSGVO) (Teil1)

Verschärfung des Datenschutzes – Jetzt handeln! 

„Wir haben wichtigere Dinge zu tun, als uns um Datenschutzregularien zu kümmern!“ oder „Der Datenschutz betrifft uns nicht, das ist was für große Konzerne oder Internetunternehmen!“ Das sind nur zwei der gängigen Argumente, die viele Fitness-Studiobetreiber haben, wenn sich das Gespräch um das Thema Datenschutz dreht. Diese Argumente sind jedoch falsch. Denn Datenschutz geht alle an, die personenbezogene Daten verarbeiten. Außerdem sollten die erheblich verschärften Sanktionen der neuen Datenschutzgrundverordnung (DSGVO) für eine erhöhte Aufmerksamkeit sorgen. 

Was ändert sich ab Mai 2018?
Ab dem 25. Mai 2018 gilt in Deutschland wie auch in der restlichen Europäischen Union (EU) die „neue“ DSGVO. Durch dieses neue EU-Recht wird das bisherige Bundesdatenschutzgesetz (BDSG) unmittelbar außer Kraft gesetzt. Parallel tritt ein dazugehöriges deutsches Ergänzungsgesetz (BDSG n.?F.) in Kraft, das die DSGVO zum Teil modifiziert und konkretisiert.  

Ziel der DSGVO ist eine Anpassung des Rechtsrahmens an die digitale Welt in Form eines weitestgehend einheitlichen Datenschutzrechts innerhalb der EU. Darin sollen vor allem die Rechte und Kontrollmöglichkeiten derjenigen gestärkt werden, deren personenbezogene Daten verarbeitet werden („Betroffene“).  

Sowohl für Unternehmen als auch für Privatpersonen bringt die DSGVO viele Änderungen im Vergleich zur bisher geltenden Rechtslage mit sich. Zwar werden wesentliche Elemente des bisherigen BDSG erhalten bleiben, es wird zukünftig jedoch einige relevante Änderungen geben, die es zu beachten gilt. Gerade für Unternehmen ist es wichtig, sich bereits jetzt in der Übergangsphase um die Umsetzung der neuen Vorgaben zu kümmern und neue datenschutzrechtliche Prozesse zu installieren. Im äußersten Fall drohen sonst drastische Bußgelder für die verspätete Einführung bzw. bei Missachtung der neuen Vorgaben. 

Man könnte nun annehmen, dass noch genügend Zeit bleibt, bis die DSGVO gültig wird. Doch dieser Schein trügt. Denn Unternehmen, die personenbezogene Daten verarbeiten, müssen oftmals unabhängig von der Unternehmensgröße – die neuen Vorgaben gründlich analysieren und die damit einhergehenden Veränderungen bis zum 25. Mai 2018 umgesetzt haben. Dies betrifft auch die Unternehmen der Fitness- und Gesundheitsbranche.

Verstärkte Sanktionen durch die DSGVO

Im Vergleich zu den bisherigen Regelungen im BDSG sind die möglichen Sanktionen im Rahmen der DSGVO um ein Vielfaches bis hin zu existenzbedrohenden Bußgeldern erhöht worden. Nach Art. 83 DSGVO kann die Aufsichtsbehörde bei Verstößen gegen die DSGVO nun Geldbußen in Höhe von bis zu 20 Mio. Euro oder bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängen. Die Aufsichtsbehörden werden dabei unter Beachtung des Verhältnismäßigkeitsgrundsatzes angehalten, den Betrag zu wählen, der höher ist. 

Machen Sie sich bewusst, dass die Sanktionen bei Datenschutzverstößen erheblich sein können! 

Der Anwendungsbereich der DSGVO

Die DSGVO gilt für die vollständig oder teilweise automatisierte sowie für die nichtautomatisierte Verarbeitung personenbezogenen Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.  

„Automatisiert verarbeitet“ werden Daten, wenn dabei beispielsweise Computer, Smartphones, Kameras, Tablets oder Kopierer verwendet werden. Unter Verarbeitung versteht man gem. Art. 4 Nr. 2 DSGVO zum Beispiel das Erheben, Speichern und Verwenden von personenbezogenen Daten. 

„Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („Betroffener“) beziehen, wie zum Beispiel Name, Adresse usw. In Fitness- und Gesundheitsunternehmen sind „Betroffene“ in der Regel deren Mitarbeiter und die Mitglieder.  

Eine Verarbeitung von personenbezogenen Daten ist generell unzulässig. Es sei denn, das Unternehmen hat eine Erlaubnis dazu, beispielsweise eine Einwilligung des Betroffenen.

Der Datenschutzbeauftragte gemäß DSGVO

Gem. Art. 37 Abs. 5 DSGVO wird ein Datenschutzbeauftragter auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der folgenden Aufgaben:  

  • Unterrichtung und Beratung des datenverarbeitenden Unternehmens hinsichtlich der sich aus der DSGVO ergebenden Pflichten
  • Überwachung der Einhaltung der datenschutzrechtlichen Bestimmungen der DSGVO
  • Sicherstellung, dass die datenschutzrechtlichen Vorgaben umgesetzt und eingehalten werden 
  • Zusammenarbeit mit der Aufsichtsbehörde 

Pflicht zur Benennung eines Datenschutzbeauftragten

Art. 37 Abs. 4 DSGVO regelt, dass ein Datenschutzbeauftragter zwingend zu benennen ist, sofern ein Mitgliedsstaat eine Benennung gesetzlich vorschreibt. Nach § 38 BDSG (n.?F.) ist ein Datenschutzbeauftragter dann zu benennen, wenn mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden.

Nach Art. 37 Abs. 1 DSGVO ist auf jeden Fall ein Datenschutzbeauftragter zu benennen, wenn die „Kerntätigkeit“ des Fitness- und Gesundheitsunternehmens in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO besteht. Nach Art. 9 DSGVO sind das u.?a. biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person oder Gesundheitsdaten. Die „Kerntätigkeit“ eines Unternehmens bezieht sich dabei auf seine Haupttätigkeiten, die zur Erreichung der Unternehmensziele erforderlich sind und nicht auf die Verarbeitung personenbezogener Daten als Nebentätigkeit. 

So besteht beispielsweise die „Kerntätigkeit“ eines Krankenhauses darin, medizinische Versorgung zu leisten. Ohne dabei gesundheitsbezogene Daten wie etwa Krankenakten von Patienten zu verarbeiten, wäre ein Krankenhaus nicht in der Lage, dies in sicherer und wirksamer Form zu tun. Hingegen führen alle Unternehmen Tätigkeiten wie etwa die Entlohnung ihrer Mitarbeiter oder die Leistung von Standard-IT-Support aus. Hierbei handelt es sich um Beispiele für Unterstützungsfunktionen: Trotz ihrer Notwendigkeit oder Unverzichtbarkeit werden solche Tätigkeiten gemeinhin eher als Nebentätigkeit denn als „Kerntätigkeit“ angesehen.  

Die zweite zu prüfende Voraussetzung ist die „umfangreiche Verarbeitung“. Diese ist von den folgenden Faktoren abhängig: 

  • Anzahl der Betroffenen 
  • Menge der betroffenen Daten und/oder Vielzahl der verschiedenen Datensätze 
  • Dauer der Datenverarbeitung 
  • geografische Reichweite der Datenverarbeitung 

Ein Beispiel für eine „umfangreiche Verarbeitung“ stellt die Verarbeitung von Patientendaten im gewöhnlichen Geschäftsbetrieb eines Krankenhauses dar. Keine „umfangreiche Verarbeitung“ wäre dementsprechend die Verarbeitung von Patientendaten durch einen einzelnen Arzt. 

Dies bedeutet: Fitness- und Gesundheitsunternehmen, in denen weniger als zehn Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, die jedoch biometrische Daten wie zum Beispiel Körpergröße, Gewicht bzw. BMI oder Gesundheitsdaten verarbeiten, müssen individuell anhand ihres Geschäftsmodells prüfen, ob diese Daten als „Kerntätigkeit“ einzustufen sind und „umfangreich verarbeitet“ werden. Wenn beide Voraussetzungen im jeweiligen Unternehmen erfüllt sind, muss im Unternehmen, unabhängig von der Größe des Unternehmens, ein Datenschutzbeauftragter benannt werden. 

Was sollten Unternehmen jetzt tun?

Grundsätzlich empfiehlt es sich, unabhängig von einer etwaigen Benennpflicht, einen betrieblichen Datenschutzbeauftragten zu bestellen, um so die Umsetzung der DSGVO im eigenen Unternehmen auf effektive Weise voranzutreiben und startklar für Mai 2018 zu sein.

Fazit

Die aufgezeigten Aspekte machen deutlich, wie wichtig es für datenverarbeitende Unternehmen ab sofort ist, sich mit der neuen DSGVO auseinanderzusetzen und nicht die Augen vor einem vermeintlich langweiligen Thema, das erst mal keine neuen Kunden bringt, zu verschließen. Denn dies könnte angesichts schwerwiegender Bußgeldrisiken existenzbedrohende Folgen haben.  

Fakt ist: Ab dem 25. Mai 2018 gilt europaweit die DSGVO. Die zuständigen Aufsichtsbehörden sind angehalten, die Umsetzung in den Betrieben zu überprüfen und dieser Aufgabe werden sie sicherlich nachkommen. Insbesondere dann, wenn sensibilisierte Kunden aufgrund des Medienrummels um die neue DSGVO Beschwerden über etwaige Datenschutzverstöße bei den Aufsichtsbehörden einreichen. Die Bildung von Teams aus dem eigenen Unternehmen bzw. die Hinzuziehung von externen Datenschutzexperten, die systematisch die Umsetzung der Vorgaben der DSGVO vornehmen, wird für viele Unternehmen der Fitness- und Gesundheitsbranche in den kommenden Wochen unumgänglich sein. In diesem Sinne gilt: Bereiten Sie sich vor und machen Sie Ihre Hausaufgaben. Datenschutz wird großgeschrieben werden.  

Ausblick

Lesen Sie in der fMi 01/2018 mehr über die neuen Pflichten für Studiobetreiber ab Mai 2018.